Le TOP 10 des mauvaises pratiques en matière d’accès informatique

Comment gérer les accès informatiques, qu’il s’agisse des ouvertures ou des fermetures de droits, ou encore des contrôles périodiques sur le stock des droits ouverts ? Et, pour une fois, à question simple, réponse simple : impossible de gérer ces situations.

Mais il est vrai que sans organisation, c’est le tonneau des Danaïdes. Comment savoir à qui s’adresser pour s’assurer que tel droit ouvert a bien eu lieu d’être ? Et que faire quand aucune réponse n’est apportée à cette question : fermer l’accès ? Et s’il s’agissait d’un droit nécessaire au plan de secours ?
L’organisation peut être portée par le métier ou l’informatique, ce n’est pas le sujet.
Ce qui est en revanche certain c’est qu’elle doit répondre à 4 préoccupations :
* définir des profils types d’accès,
* définir des règles d’ouverture et de fermeture des accès, qui s’imposent à tous,
* organiser un réseau de personnes connues, ayant autorité et qui considèrent que cela fait bien partie de leur job,
* séparer les fonctions, notamment entre octroi des droits et mise en œuvre.

Le TOP 10 des mauvaises pratiques en matière d’accès informatique
* La faiblesse des authentifications. Par exemple avec les mots de passe partagés ou génériques ou simples à deviner, inchangés, écrits sur papier...
* L’octroi des droits par recopie des droits d’un autre utilisateur,
* Les accès externes. Au niveau des utilisateurs internes-externes( agents d’une filiale, d’un autre pays...) et des utilisateurs externes (clients, consultants, intérimaires).
* L’accès à l’infrastructure informatique,
* L’ancienneté des profils,
* La déconnexion des événements du SIRH. Comme les départs, les mutations...
* L’absence de référentiels. Que ce soit au niveau de l’organisation, des personnes, des applications, du vocabulaire,
* l’absence de règles de désactivation automatique des droits,
* l’absence d’organisation de la fonction habilitation,
* La confusion entre revue des accès et des profils.
La revue des accès, c’est s’assurer que les accès correspondent à des personnes autorisées. Alors que la revue des profils, c’est s’assurer de l’adéquation entre besoins et droits ouverts.